Les contrats de services reliés à la sécurité informatique: éviter les pièges Conférence Insight : Sécurité informatique Les 14 et 15 janvier 2008 Me Charles.

Slides:



Advertisements
Présentations similaires
LSTI – mai 2004.
Advertisements

Résultats du 1 er Baromètre 2012 des DI Cloud Computing et Sécurité Etat des lieux – Nouvelles tendances Juin
Vie privée + technologies Notion de « renseignement personnel » Université de Montréal Conférence Droit civil + Technologies Montréal, 18 février 2010.
Conférence Droit civil et technos Montréal, le 19 février 2010 Véronique Wattiez Larose Associée, Groupe de droit de la technologie McCarthy Tétrault S.E.N.C.R.L.,
Drt 6903A Droit du commerce électronique Cours 6 – Atelier Responsabilité et sécurité 7 octobre 2009 Eloïse Gratton
CLOUD COMPUTING ET PROTECTION DES DONNÉES PERSONNELLES EN TUNISIE
RENCONTRE ANNUELLE DES MINISTRES DU TRAVAIL Mars 2006 Présentation par : Yves Brissette, CSST, Québec RENCONTRE ANNUELLE DES MINISTRES DU TRAVAIL Mars.
PLAN DU COURS Outils de traitement des risques
La politique de Sécurité
Collège Anatole France – Cadillac Mise à jour: Questions sur cette charte à envoyer à: CHARTE INFORMATIQUE SIMPLIFIEE.
Protéger la personne et la vie privée
LE DOCUMENT UNIQUE DE DELEGATION
Législation – Diapositive – 1 Les employeurs et les travailleurs de lAlberta doivent connaître : la loi, les règlements et le code Occupational Health.
2 1. Principes de protection des clients 2. Principe 6 en pratique 3. Deux composantes de la protection des données des clients 4. Réactions des participants.
Assurance-qualité et révision
La mise en place du Règlement sur la diffusion de linformation Un travail déquipe.
29e CONFÉRENCE INTERNATIONALE DES COMMISSAIRES À LA PROTECTION DES DONNÉES ET DE LA VIE PRIVÉE 29 th INTERNATIONAL DATA PROTECTION AND PRIVACY COMMISSIONERS.
Dossier d'évaluation intégrée (DEI) Protection de la vie privée et sécurité pour les utilisateurs du DEI.
Control des objectifs des technologies de l’information COBIT
Gestion des risques Contrôle Interne
La Gestion des communications électroniques Charles Morgan 1 mai 2007.
Le diagnostic de vulnérabilité : un outil mobilisable
FORUMS ECO-SECURITE.
0 NOUVEAUTÉS LES PREMIERS SCEAUX FRANÇAIS DÉLIVRÉS PAR WEBTRUST FRANCE.
1 Les avantages dêtre membre dune association professionnelle active et reconnue ! Octobre 2013
Pour obtenir plus d'information sur le Programme de prestations pour travailleurs autonomes, communiquez avec Trenval, Avantage Carrière ou le MFCU. Division.
ASSEMBLEE GENERALE Lundi 29 octobre RAPPORT DU COMMISSAIRE AUX COMPTES EXERCICE 2011 – 2012 CLOS LE 31 AOÛT 2012.
Certificat Informatique et Internet
Norme de service - Attractions et événements 1 Introduction à la norme de service Attractions et événements Session de formation 3 P
1Office for the Coordination of Humanitarian Affairs (OCHA) CAP (Consolidated Appeal Process) Section Système de projet en ligne (OPS) pour les appels.
1 Loi sur les divulgations faites dans lintérêt public (protection des divulgateurs dactes répréhensibles)
29e CONFÉRENCE INTERNATIONALE DES COMMISSAIRES À LA PROTECTION DES DONNÉES ET DE LA VIE PRIVÉE 29 th INTERNATIONAL CONFERENCE OF DATA PROTECTION AND PRIVACY.
Docteur François-André ALLAERT Centre Européen de Normalisation
29e CONFÉRENCE INTERNATIONALE DES COMMISSAIRES À LA PROTECTION DES DONNÉES ET DE LA VIE PRIVÉE 29 th INTERNATIONAL CONFERENCE OF DATA PROTECTION AND PRIVACY.
29e CONFÉRENCE INTERNATIONALE DES COMMISSAIRES À LA PROTECTION DES DONNÉES ET DE LA VIE PRIVÉE 29 th INTERNATIONAL CONFERENCE OF DATA PROTECTION AND PRIVACY.
Office des affaires francophones Office des affaires francophones Le présent document comprend : une vue densemble du ministère le rapport annuel
1 Direction de la recherche et de linnovation Juin 2006 La recherche : Polytechnique et le G15 DRI.
Page 1 / Titre / Auteur / Date / Confidentiel D? LA DEMARCHE COLLEGES METIER.
Processus d’éthique des affaires
TAX & LAW M EMBRE DU R ÉSEAU E RNST & Y OUNG 25 March 2008 HEC International Business Seminar : Key Factors and Business Location Case Study Tuesday 25.
Le traitement des données personnelles dans les services en ligne Pierre TRUDEL
LA VÉRIFICATION DES ANTÉCÉDENTS JUDICIAIRES
Présentation de M e Christiane Larouche Service juridique, FMOQ 28 mai 2014.
ASSEMBLEE GENERALE Mercredi 3 novembre RAPPORT DU COMMISSAIRE AUX COMPTES EXERCICE
Please fill-out the appropriate slide and ensure that you use it as the second slide in your presentation: Ottawa Conference/CCME I have information.
Policy Literacy Workshop 1 Atelier du jour 1.Qu’est-ce que la politique et pourquoi en avons-nous besoin? 2. Qui élabore la politique? 3. Comment la politique.
Votre espace Web Entreprises Article 39 Démonstration.
COMITE DE DIRECTION – 22/02/2011 > Esprit d’entreprise > Ouverture et diversité > Responsabilité et performances globales > Innovation.
Donna Jodhan v. le Gouvernement du Canada : perspectives québécoises a11y Montréal Catherine Roy 26 août
Olivier Rukundo État des négociations sur l’APA et le point sur les enjeux.
Utilisation de la technologie dans la pratique infirmière : Respect des politiques et optimisation de la pratique 1.
MÉNARD, MARTIN, AVOCATS LA PROTECTION JURIDIQUE DES PERSONNES CONTRE LES MESURES DE CONTRÔLE ABUSIVES EN PSYCHIATRIE Par: Me Jean-Pierre Ménard, Ad. E.
Séances de liaison auprès des brevetés 2014 Montréal – le 11 juin 2014 Toronto – le 12 juin 2014 Conseil d’examen du prix des médicaments brevetés.
Comité d’Hygiène, de Sécurité et des Conditions de Travail (CHSCT)
Norme de service - Attractions et événements 1 Introduction à la norme de service Attractions et événements Session de formation 4 P
DROIT, COMMUNICATION ELECTRONIQUE et GESTION DES RELATIONS DU TRAVAIL
Utilisateurs en aval Downstream Users Utilisateurs en aval Downstream Users Daphné Hoyaux Jeudi 21 février 2013.
© Copyright Showeet.com S OCIAL M EDIA T HINKING.
1 Directive sur les services mobiles réguliers Rapport d’étape Présentation au Comité d’orientation en matière de santé et sécurité 9 septembre 2009.
1 Copyright WebTrust France Nouveautés Copyright WebTrust France Les premiers sceaux français délivrés par WebTrust France.
Formalisation de la politique qualité
Point de vue d’un praticien au Québec 19 novembre 2014 Me Tommy Tremblay, Associé, Litige commercial Borden Ladner Gervais, S.E.N.C.R.L., S.R.L.
Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels Me Isabelle Chvatal 25 septembre 2014 Réseau REPCAR.
Sophie Kwasny 16 June 2011 Forum Africain sur la Protection des Données Personnelles Dakar – 18 au 20 mai 2015 Les normes de protection des données à caractère.
Le magasinage en ligne peut être un moyen rapide et pratique de faire des achats, mais il peut aussi vous exposer aux fraudes à moins que vous sachiez.
Gestion des déplacements professionnels SAP Best Practices.
Gouvernance des données. Renseignement Confidentiel Renseignement Personnel Obligations Sécurité Valorisation.
PROCESSUS D’AUDIT PLANIFICATION DES AUDITS
2 Objectifs de la séance Décrire les effets positifs de la confidentialité des données pour une FI et le client Dressez la liste des indicateurs de performance.
LES FAILLES DE SÉCURITÉ INFORMATIQUE PRÉSENTÉ PAR MOISSON ARTHUR, TORRES BALTAZAR, FULCHER ARNAUD.
Transcription de la présentation:

Les contrats de services reliés à la sécurité informatique: éviter les pièges Conférence Insight : Sécurité informatique Les 14 et 15 janvier 2008 Me Charles Morgan

2 Présentation Profil de risque: sécurité informatique Obligations contractuelles et statutaires Les situations contractuelles Les clauses clés

3 Profil de risque: sécurité informatique

4 Modalités de travail non traditionnelles Pénurie d’employés compétents dans le domaine des technologies de l’information Transition d’une conservation des documents papier à une conservation sous forme électronique des documents Transition des ordinateurs centraux (main frame) à l’architecture ouverte Augmentation de la présence sur le Web; augmentation de la largeur de bande

5 Profil de risque: sécurité informatique Monoculture du système d’exploitation de Microsoft Augmentation fulgurante des communications par courriel/Internet Augmentation de l’utilisation des services fournis par des tiers et/ou dépendance envers des fournisseurs de service (hébergement de données, traitement, IPA et impartition des technologies de l’information) Augmentation du nombre d’intrus (expérimentaux, malveillants, locaux et étrangers)

6 À quel coût? La Computer Emergency Readiness Team (CERT), financée par le Department of Defence des États-Unis comptabilise les incidents concernant la cybersécurité: 2002 : incidents (en un an) Mars 2007 : incidents (en un mois!) Les logiciels malveillants et les virus ont entraîné des dépenses de 169 milliards $ US à 204 milliards $ US pour les entreprises en 2004 Coûts occasionnés par les pourriels en 2005 : États- Unis (17 milliards $ US); Royaume-Uni (2,5 milliards $ US) et Canada (1,6 milliard $ US) Voir le rapport du British North-American Committee sur la cyberattaque : ort.pdf

7 Exemple? En avril 2007, l’Estonie a subi pendant trois semaines des attaques entraînant un refus de service envers les éléments clés de son infrastructure – le gouvernement, les services bancaires et les entreprises les plus importantes En décembre 2007, une banque canadienne a perdu un disque dur contenant des renseignements confidentiels concernant clients au cours d’un transfert de données de Montréal à Toronto

8 La décision TJX  Rapport conjoint du Commissariat à la protection de la vie privée du Canada et de l’Alberta publié le 25 septembre 2007 concernant l’intrusion dans le réseau de TJX (Winners, HomeSense) touchant les renseignements personnels d’environ 45 millions d’utilisateurs de cartes au Canada, aux États-Unis, à Puerto Rico, au Royaume-Uni et en Irlande.  Les renseignements personnels consultés lors des intrusions (qui ont eu lieu de 2002 à 2006) comprenaient des données des comptes de cartes de crédit et des données concernant les cartes de débit (sauf au Canada), ainsi que les numéros d’identification de permis de conduire et autres numéros d’identification provinciaux, noms et adresses connexes, que TJX avait recueillis dans le cadre des opérations de retour de marchandise sans reçu.

9 La décision TJX  Les trois questions clés de ce rapport :  TJX avait-elle un motif raisonnable pour conserver les renseignements personnels touchés par la brèche?  TJX conservait-elle les renseignements conformément à la LPRPDE et à la PIPA?  TJX avait-elle mis en place des mesures de sécurité raisonnables afin de protéger les renseignements personnels qu’elle conservait?

10 TJX avait-elle mis en place des mesures de sécurité raisonnables? « On détermine le nature délicate des renseignements personnels en procédant à une évaluation des préjudices et des risques. Certains types de renseignements personnels peuvent plus facilement être utilisés à des fins préjudiciables ou servir à la fraude que d’autres types de renseignements. […] Vu la nature des renseignements personnels auxquels ont eu accès les pirates, le nombre de personnes touchées et le temps écoulé avant que ne soit découvert l’intrusion, le préjudice pourrait être très grave. […] En outre, en raison de la brèche, des personnes ont pu vivre des niveaux plus élevés d’anxiété. » « On a habituellement recours à des exigences législatives pour établir des normes minimales en matière de conduite. Le fait que le chiffrement figure dans la liste des mesures de protection au principe de la LPRPDE laisse croire qu’il s’agit d’une mesure de protection bien établie. […] Selon nous, le risque d’une brèche était prévisible en raison de la quantité de renseignements personnels de nature délicate conservés et du fait que l’organisation ayant établi les normes de l’industrie avait déterminé les faiblesses du protocole de chiffrement WEP. Les renseignements auraient pu être séparés, et les systèmes, mieux surveillés. Par conséquent, TJX n’a pas respecté les dispositions relatives aux mesures de protection de la LPRPDE et de la PIPA. »

11 Obligations contractuelles et statutaires

12 Fondement de la responsabilité légale Violation d’un contrat Obligations de confidentialité Obligations contractuelles relatives à la protection de la vie privée Obligations contractuelles relatives à la sécurité Acceptation contractuelle des risques Négligence Non respect d’une obligation de diligence due à une personne avec qui l’on a un « lien spécial » Associés Clients Fournisseurs

13 Fondement de la responsabilité Violation des obligations statutaires Canada : LPRPDE (fédéral), Loi sur la protection des renseignements personnels dans le secteur privé (Québec), Personal information protection Acts (Colombie-Britannique et Alberta) États-Unis : Sarbanes-Oxley, California SB 1386, Gramm-Leach-Bliley (GLBA) et Health Insurance Portability and Accountability Act (HIPAA) Recours collectifs Visent tout ce qui précède Un petit problème peut devenir important

14 LPRPDE Mesures de sécurité 4.7 : Les renseignements personnels doivent être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité : Les mesures de sécurité doivent protéger les renseignements personnels contre la perte ou le vol ainsi que contre la consultation, la communication, la copie, l'utilisation ou la modification non autorisées. Les organisations doivent protéger les renseignements personnels quelle que soit la forme sous laquelle ils sont conservés : La nature des mesures de sécurité variera en fonction du degré de sensibilité des renseignements personnels recueillis, de la quantité, de la répartition et du format des renseignements personnels ainsi que des méthodes de conservation. Les renseignements plus sensibles devraient être mieux protégés : Les méthodes de protection devraient comprendre : a) des moyens matériels, par exemple le verrouillage des classeurs et la restriction de l'accès aux bureaux; b) des mesures administratives, par exemple des autorisations sécuritaires et un accès sélectif; et c) des mesures techniques, par exemple l'usage de mots de passe et du chiffrement : Les organisations doivent sensibiliser leur personnel à l'importance de protéger le caractère confidentiel des renseignements personnels : Au moment du retrait ou de la destruction des renseignements personnels, on doit veiller à empêcher les personnes non autorisées d'y avoir accès.

15 Gramm-Leach-Bliley § Protection of nonpublic personal information (a) Privacy obligation policy: It is the policy of the Congress that each financial institution has an affirmative and continuing obligation to respect the privacy of its customers and to protect the security and confidentiality of those customers’ nonpublic personal information. (b) Financial institutions safeguards: In furtherance of the policy in subsection (a) of this section, each agency or authority described in section 6805 (a) of this title shall establish appropriate standards for the financial institutions subject to their jurisdiction relating to administrative, technical, and physical safeguards—6805(a) (1) to insure the security and confidentiality of customer records and information; (2) to protect against any anticipated threats or hazards to the security or integrity of such records; and (3) to protect against unauthorized access to or use of such records or information which could result in substantial harm or inconvenience to any customer.

16 California, SB 1386 SEC. 2. Section is added to the Civil Code, to read: (a) Any agency that owns or licenses computerized data that includes personal information shall disclose any breach of the security of the system following discovery or notification of the breach in the security of the data to any resident of California whose unencrypted personal information was, or is reasonably believed to have been, acquired by an unauthorized person. The disclosure shall be made in the most expedient time possible and without unreasonable delay, consistent with the legitimate needs of law enforcement, as provided in subdivision (c), or any measures necessary to determine the scope of the breach and restore the reasonable integrity of the data system. g) For purposes of this section, "notice" may be provided by one of the following methods: (1) Written notice. (2) Electronic notice, if the notice provided is consistent with the provisions regarding electronic records and signatures set forth in Section 7001 of Title 15 of the United States Code. (3) Substitute notice, if the agency demonstrates that the cost of providing notice would exceed two hundred fifty thousand dollars ($250,000), or that the affected class of subject persons to be notified exceeds 500,000, or the agency does not have sufficient contact information. Substitute notice shall consist of all of the following: (A) notice when the agency has an address for the subject persons. (B) Conspicuous posting of the notice on the agency's Web site page, if the agency maintains one. (C) Notification to major statewide media.

17 Normes de sécurité ISO BS 7799 : la première partie prévoit un aperçu d’une politique en matière de sécurité BS 7799 : la deuxième partie prévoit la certification La certification dure trois ans et elle est contrôlée périodiquement L’intégrité, la confidentialité et la disponibilité sont des caractéristiques de la sécurité de l’information 11 zones de contrôle

18 Vérifications ICCA 5970 et SAS 70 (Type II) Des vérifications semblables qui définissent les normes professionnelles utilisées par les vérificateurs indépendants pour évaluer rigoureusement les contrôles internes des organismes de services. Ces programmes comportent des exigences précises pour les fournisseurs de service qui gèrent les données des clients et mettent un fort accent sur les domaines de respect, de sécurité et d’accès. La norme ICCA 5970 est une norme canadienne administrée par l’Institut Canadien des Comptables Agréés La norme SAS 70 est essentiellement l’équivalent américain élaboré par l’American Institute of Certified Public Accountants.

19 Autres Normes de sécurité Information Security Forum (ISF), « Standard of good practice », mise à jour en février North America Electric Reliability Council (NERC) : p. ex. la norme NERC Permanent.htmlhttp:// Permanent.html Control Objectives for Information and related Technology (COBIT), norme dévéloppée par Information Systems Audit and Control Association (ISACA) Information Systems Audit and Control Association L’obtention d’une certification peut faciliter l’obtention d’une assurance en matière de cybersécurité

20 Les situations contractuelles

21 Les situations contractuelles Contrats de vérification de réseau (évaluation de vulnérabilité) Contrats de service pour renforcer la sécurité du réseau existant (coupe-feu, chiffrement) Contrats de surveillance de réseau et de détection d’intrusion Impartition du traitement de données, des services de réseaux, de l’hébergement de données et partage de réseau

22 Les clauses clés

23 Les clauses clés La définition des normes des sécurité normes et niveau des services sécurité matérielle, sécurité logicielle chiffrement (coût par rapport au risque) « normes de l’industrie » ou définition restreinte, détaillée? droit de modifier les normes (traitement des ordres de modification) Clause de confidentialité séparation matérielle et logicielle des renseignements confidentiels employés visés par une entente de non-divulgation, accès en fonction de la nécessité Clauses de protection des renseignements personnels les « renseignements confidentiels » ne sont pas assimilables à des « renseignements personnels » Droit de vérification vérificateur indépendant droit d’accès aux lieux droit d’enquête en cas d’incident de sécurité Obligation de collaborer en cas d’enquête par les autorités gouvernementales

24 Les clauses clés Classification des dommages dommages directs ou indirects? p. ex. perte de données?; dommages directs subis par les clients?; manquement aux déclarations et garanties? Responsabilité illimitée manquement à l’obligation de confidentialité et aux obligations de respect de la vie privée? le fournisseur de service devrait-il devenir votre « assureur »? Exclusion de la responsabilité dommages indirects Limite de responsabilité qu’elle est la répartition indiquée du risque? Assurance examiner les exclusions prévues dans les polices en ce qui concerne la cybersécurité, la perte de données, etc. couverture des biens incorporels?

25 Préjudice occasionné à la cote d’estime Nota : l’attribution du risque à un tiers fournisseur de services ne remplace pas la mise en œuvre de pratiques, de politiques, de contrôles et de formation appropriés à l’interne pour éviter les atteintes à la sécurité et pour gérer et atténuer les pertes en cas d’incident de sécurité

26 Merci

Vancouver P.O. Box 10424, Pacific Centre Suite 1300, 777 Dunsmuir Street Vancouver (Colombie-Britannique) V7Y 1K2 Tél. : Téléc. : Calgary Suite 3300, 421 – 7th Avenue SW Calgary (Alberta) T2P 4K9 Tél. : Téléc. : Toronto Box 48, Suite 4700 Toronto Dominion Bank Tower Toronto (Ontario) M5K 1E6 Tél. : Téléc. : Ottawa The Chambers Suite 1400, 40 Elgin Street Ottawa (Ontario) K1P 5K6 Tél. : Téléc. : Montréal Bureau , rue De La Gauchetière Ouest Montréal (Québec) H3B 0A2 Tél. : Téléc. : Québec Le Complexe St-Amable 1150, rue de Claire-Fontaine, 7 e étage Québec (Québec) G1R 5G4 Tél. : Téléc. : Royaume-Uni et Europe 5 Old Bailey, 2 e étage Londres, Angleterre EC4M 7BA Tél. : +44 (0) Téléc. : +44 (0)